首页 >> 网络安全 >>漏洞预警 >> CVE-2022-24348 Argo CD允许遍历漏洞
详细内容

CVE-2022-24348 Argo CD允许遍历漏洞

时间:2022-02-28        阅读

2.1.9 之前的 Argo CD 和 2.2.4 之前的 2.2.x 允许遍历与 Helm 图表相关的目录,因为 repository.go 中的 helmTemplate 有错误。例如,攻击者可能能够发现存储在 YAML 文件中的凭据。


CVSS 2.0:4.0 中等 CVSS 3.x:7.7 高


▼ CVSS3 Vec CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

攻击向量 (AV)网络邻近的当地的身体的

攻击复杂度 (AC)低的高的

所需权限 (PR)没有低的高的

用户交互 (UI)没有必需的

范围 (S)不变改变了

保密 (C)没有低的高的

诚信(一)没有低的高的

可用性 (A)没有低的高的


▼ CVSS2 Vec AV:N/AC:L/Au:S/C:P/I:N/A:N

攻击向量 (AV)网络邻近的当地的

访问复杂性 (AC)低的中等的高的

认证 (Au)没有单身的多种的

保密 (C)没有帕里尔完全的

诚信(一)没有部分的完全的

可用性 (A)没有部分的完全的


NVD 参考

 https://apiiro.com/blog/malicious-kubernetes-helm-charts-can-be-used-to-steal-sensitive-information-from-argo-cd-deployments/

     来源:MISC

     标签:利用第三方咨询    

 https://github.com/argoproj/argo-cd/security/advisories/GHSA-63qx-x74g-jcr7

     来源:CONFIRM

     标签:利用第三方咨询    

技术支持: 建站ABC | 管理登录